Microsoft descubre la vulnerabilidad de TikTok que permitió compromisos de cuentas con un solo clic
Microsoft descubre la vulnerabilidad de TikTok que permitió compromisos de cuentas con un solo clic
Expandir
imágenes falsas
Microsoft dijo el miércoles que recientemente identificó una vulnerabilidad en la aplicación de Android de TikTok que podría permitir a los atacantes secuestrar cuentas cuando los usuarios no hacen nada más que hacer clic en un solo enlace deambulando. El fabricante de software dijo que notificó a TikTok sobre la vulnerabilidad en febrero y, desde entonces, la empresa de redes sociales con sede en China corrigió la falla, que se identifica como CVE-2022-28799.
La vulnerabilidad residía en la forma en que la aplicación buscaba los llamados enlaces profundos, que son hipervínculos específicos de Android para acceder a componentes individuales dentro de una aplicación móvil. Los enlaces profundos deben declararse en el manifiesto de una aplicación para su uso fuera de la aplicación. Entonces, por ejemplo, alguien que hace clic en un enlace de TikTok en un navegador ve el contenido abierto automáticamente en la aplicación TikTok.
Una aplicación también puede declarar criptográficamente la validez de un dominio URL. TikTok en Android, por ejemplo, declara el dominio m.tiktok.com. Normalmente, la aplicación TikTok permite cargar contenido de tiktok.com en su componente WebView, pero no permite que WebView cargue contenido de otros dominios.
"La vulnerabilidad permitió eludir la verificación de enlace profundo de la aplicación", escribieron los investigadores. "Los atacantes podrían obligar a la aplicación a cargar una URL arbitraria en la vista web de la aplicación, lo que permitiría que la URL acceda a los puentes de JavaScript adjuntos a la vista web y otorgue funcionalidad a los atacantes".
Luego, los investigadores crearon un exploit de prueba de concepto que hizo precisamente eso. Implicaba enviar a un usuario de TikTok específico un enlace malicioso que, al hacer clic, obtenía los tokens de autenticación que los servidores de TikTok necesitan para que los usuarios demuestren la propiedad de su cuenta. El enlace PoC también cambió la biografía del perfil del usuario objetivo para mostrar el texto "¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡
"Una vez que el usuario objetivo de TikTok hace clic en el enlace malicioso especialmente diseñado por el atacante, el servidor del atacante, https://www.attacker[.]com/poc, obtiene acceso completo al puente de JavaScript y puede invocar cualquier funcionalidad expuesta, ", escribieron los investigadores. "El servidor del atacante devuelve una página HTML que contiene código JavaScript para devolver tokens de descarga de video al atacante y modificar la biografía del perfil del usuario".
Microsoft dijo que no tiene evidencia de que la vulnerabilidad se esté explotando activamente en la naturaleza.
Microsoft dijo el miércoles que recientemente identificó una vulnerabilidad en la aplicación de Android de TikTok que podría permitir a los atacantes secuestrar cuentas cuando los usuarios no hacen nada más que hacer clic en un solo enlace deambulando. El fabricante de software dijo que notificó a TikTok sobre la vulnerabilidad en febrero y, desde entonces, la empresa de redes sociales con sede en China corrigió la falla, que se identifica como CVE-2022-28799.
La vulnerabilidad residía en la forma en que la aplicación buscaba los llamados enlaces profundos, que son hipervínculos específicos de Android para acceder a componentes individuales dentro de una aplicación móvil. Los enlaces profundos deben declararse en el manifiesto de una aplicación para su uso fuera de la aplicación. Entonces, por ejemplo, alguien que hace clic en un enlace de TikTok en un navegador ve el contenido abierto automáticamente en la aplicación TikTok.
Una aplicación también puede declarar criptográficamente la validez de un dominio URL. TikTok en Android, por ejemplo, declara el dominio m.tiktok.com. Normalmente, la aplicación TikTok permite cargar contenido de tiktok.com en su componente WebView, pero no permite que WebView cargue contenido de otros dominios.
"La vulnerabilidad permitió eludir la verificación de enlace profundo de la aplicación", escribieron los investigadores. "Los atacantes podrían obligar a la aplicación a cargar una URL arbitraria en la vista web de la aplicación, lo que permitiría que la URL acceda a los puentes de JavaScript adjuntos a la vista web y otorgue funcionalidad a los atacantes".
Luego, los investigadores crearon un exploit de prueba de concepto que hizo precisamente eso. Implicaba enviar a un usuario de TikTok específico un enlace malicioso que, al hacer clic, obtenía los tokens de autenticación que los servidores de TikTok necesitan para que los usuarios demuestren la propiedad de su cuenta. El enlace PoC también cambió la biografía del perfil del usuario objetivo para mostrar el texto "¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡
"Una vez que el usuario objetivo de TikTok hace clic en el enlace malicioso especialmente diseñado por el atacante, el servidor del atacante, https://www.attacker[.]com/poc, obtiene acceso completo al puente de JavaScript y puede invocar cualquier funcionalidad expuesta, ", escribieron los investigadores. "El servidor del atacante devuelve una página HTML que contiene código JavaScript para devolver tokens de descarga de video al atacante y modificar la biografía del perfil del usuario".
Microsoft dijo que no tiene evidencia de que la vulnerabilidad se esté explotando activamente en la naturaleza.
Expandir
imágenes falsas
